Apache NiFi命令注入漏洞CVE-2022-33140

近日,我司监测到Apache发布安全公告,修复了一个存在于Apache NiFi 中的命令注入漏洞。Apache NiFi 1.10.0 到 1.16.2 和 Apache NiFi Registry 0.6.0 到 1.16.2 中的可选 ShellUserGroupProvider 不会中和组解析命令的参数,从而允许在 Linux 和 macOS 平台上注入操作系统命令。ShellUserGroupProvider 不包含在默认配置中。命令注入要求 ShellUserGroupProvider 是授权方配置中启用的用户组提供程序之一。命令注入还需要具有提升权限的经过身份验证的用户。Apache NiFi需要经过身份验证的用户授权修改访问策略以执行命令。Apache NiFi Registry 需要经过身份验证的用户授权读取用户组才能执行命令。

Apache NiFi是美国阿帕奇(Apache)基金会的一套数据处理和分发系统。该系统主要用于数据路由、转换和系统中介逻辑。

 

影响版本

  • 1.10.0 <= Apache NiFi <= 1.16.2
  • 0.6.0 <= Apache NiFi Registry <= 1.16.2

1.10.0 <= Apache NiFi <= 1.16.2,0.6.0 <= Apache NiFi Registry <= 1.16.2

 

修复建议:

官方已发布安全版本,请及时下载更新,下载地址:https://nifi.apache.org/download.html

发表评论

评论已关闭。

相关文章